網絡數據的加密傳輸方式分析

摘 要：隨著互聯網技術的不斷發展，各大企業都會在生產以及管理方面運用到互聯網技術，多數單位會使用互聯網進行局域內的數據傳輸，但是網絡的數據傳輸會存在較大的問題，安全性不足。本文主要從軟硬件結合的角度對加密傳輸方式進行分析，實現Internet局域網的數據傳輸及其加密工作。該技術方案主要DH的算法對初始密匙進行分配，之后使用SSX31-B的加密卡將數據進行加密。通過實際檢驗證明，該方法具有比較高的傳輸效率與實用性。

關鍵詞：網絡數據；數據加密；加密傳輸

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 10-0000-01

需要通過局域網的形式進行傳輸的數據都是機密性比較強的，所以必須要對傳輸的數據進行加密，以保證數據自身的安全性。我國經常使用的方式主要分為軟件加密與硬件加密。軟件加密的本質就是在用戶信息發送之前便對信息進行加密，加密后再發送，而接受方只需要在接收到軟件之后使用對應的方式進行解密即可。而硬件加密的本質就是從使用加密工作專用的芯片或者是獨立的芯片對輸出傳輸進行加密，這種加密方式的保密性較強，而且解密過程比較簡單，但是操作方面卻比較復雜。本文綜合硬件與軟件加密技術的特性，綜合二者的優點，提出SSX31-B聯合3DES的方式進行傳輸加密，保證數據傳輸的效率與安全性。

一、加密卡

SSX31-B的加密卡，故名思議，是使用SSX31-B的安全芯片的基礎上進行軟件開發加密的一種加密卡，將該卡插入到所在服務器卡槽中，可以對出入的數據進行過濾與截獲，并且可以對部分數據進行加密和解密，根據實際情況選擇是否進行轉發。SSX31-B在運轉過程中需要依靠Netfilter機制在Linux當中依靠IP協議層的實際作用，對傳輸中的IP包進行截獲，并且可以確定，Netfilter屬于Linux內核當中經常會用于各項網絡服務結構中最為基層的一種框架結構。NF_IP_PRE_ROUTING在完成版本校對以及檢測之后，需要進入到鏈路層當中存在的IP數據包，讓數據包通過hook的監測點，并且傳輸工作中源地址轉換工作就要在這一點上進行。NF_IP_LOCAL_IN在經過所使用的路由器進行查找之后，會要送到本機節點當中對IP的數據包進行檢驗，而NF_IP_FORWARD則負責將要進行檢驗的數據包傳送到hook點。NF_IP_POST_ROUTING會將要通過網絡設備轉發出去的數據包進行推送，發往hook點進行檢測。上述設備中hook監測點覆蓋了網絡數據傳輸過程中的每一個小的過程，并且在不同的hook當中，協議會自動運用數據包以及hook號對Netfilter的自身框架進行針對性調用。其中有一小部分內核在注冊之后可以連定一些具有差異性的鉤子，在網絡數據包從Netfilter的框架中通過的時候，假設模塊具有協議以及hook注冊，就要按照相關順序對網絡數據包進行進一步的檢驗以及拋棄等下一步處理，也可以求Netfilter，讓它加入到隊伍中，進入到隊伍中的網絡數據包有可能會通過集送的方式傳送到用戶的空間當中，而且這部分網絡數據會使用異步的處理方法進行下一步處理。加密過程中使用的SSX31-B的加密卡可以通過NF_IP_PRE_ROUTING以及NF_IP_POST_ROUTINGhook檢測點，并且可以從Linux的內核層當中實現IP數據包截獲，從而完成相應工作。

3DES的算法在在加密過程中的強度比較高，而且可以通過其余軟件進行實現。SSX13-B的加密卡是使用3DES算法進行計算，并且可以對截獲到的IP數據包進行進一步的加密處理。前面所敘述的hook截獲到的網絡數據傳輸的信息包屬于函數上的處理，使用這部分處理結果對網絡數據進行匹配比較發現，對符合加密條件的網絡數據，完全可以對其進行加密處理。在發送方向方面，可以對源IP進行匹配，并且匹配范圍在自己的網絡中的IP匹配過程中可以對IP數據包進行進一步的加密，在加密過后應當對已經加密的文件進行TOS標記。相對應的在解密的過程中，便可以對存在于TOS區域內部的加密標志進行解密處理。主動加密機可以對符合加密要求的網絡數據包進行加密，在加密的基礎上進行進一步的處理與轉發，而被動的加密機可以對接收到的網絡數據包進行解密處理，根據相關知識判定是否需要轉發。因為3DES加密數據屬于8個字節為一個單元的設置，所以在進行加密的時候，最多對其添加7個字節，通過該方式來提升數據傳輸過程中的安全性，也可以進行密匙同步規劃。首先保存目前正在使用并且是正確的密匙，另一方面保存之前使用過的密匙或者是保存即將新生的密匙。密匙整體更新過程便是對這個密匙進行翻轉的一個過程。先將A生出的新密匙通知到B方，B方在接收到新的密匙之后，不要先將密匙激活，而是要繼續使用之前使用的密匙，但是要給A一個信號。當A接受到這一信號的時候，便可以激活新的密匙進行使用。在B接收到A傳到B手中的加密網絡數據的時候，發現自己使用的密匙已經更新，那么就需要同步使用新的密匙，如果自己使用的密匙沒有發生更新，那么就需要使用之前使用過的密匙。

二、系統認證中心的身份驗證

各個局域網之間都需要通過Internet來組成一個加密的傳輸系統，這個傳輸系統當中會存在許多個局域網以及一個系統認證中心。在局域網方面，可以通過網管將自身網絡連接在Internet上，并且系統認證中心要對這部分網關進行核對檢查，發放相對應的管理證書。在驗證之后得到的X509整數可以在系統認證中心在線以及離線兩種情況下進行下一步的身份驗證。系統認證的在線模型使用中，B可以將A證書拿到系統認證中心當中進行驗證，之后將驗證所得結果返回到A中，使用起來相對比較方便。CA對網關進行鑒定合格之后，會發放X.509證書，同時也會將自己這方面的證書發放給網關位置，便于后續離線CA的實現。在兩個網關都有X.509證書之后，兩者之間便可以進行下一步的身份認證，從而提升工作質量。使用該方案時，如果發生網關發送申請時數據被攔截到，或者是數據被篡改，會直接導致申請失敗，受到拒絕服務的攻擊。

三、結束語

想要保證網絡數據傳輸的安全性，就必然要對傳輸數據進行加密。本文主要從加密卡以及系統認證中心這兩方面入手，結合當前國內外的先進技術及文獻，對如何實現網絡數據傳輸安全性進行簡要分析。論證了在Openssl基礎上的網關服務身份認證，應用DH算法對初始的密匙進行分配，并且使用SSX31-B加密卡的方式對需要傳輸的數據進行加密或者是解密處理。

參考文獻：

[1]林曉芬，付敏峰.一種數據加密傳輸方案的設計與實現[J].北京化工大學學報（自然科學版），2012（11）：122-123.

[2]李長連，李福慶，黃強華.網絡環境文件端到端加密傳輸[J].郵電設計技術，2012（07）：145-147.

作者簡介：舒暢（1983.07-），男，數字校園事業部副總經理，高級工程師，博士，主要研究方向：云計算應用技術、分布式存儲技術等。